第八届上海市大学生网络安全大赛暨“磐石行动”2023（首届）大学生网络安全邀请赛–漏洞挖掘赛 官方WP

首先看到这个ip

http://10.103.117.36/

我们扫描下这个ip发现存在sql server弱口令

发现禁用了，然后我们启用xp_cmdshell之后执行命令

发现降权了，然后我们先看下杀软和能不能出网

发现其实用defender，我们可以上一个免杀的cs马

因为这款工具自带上传功能

我们直接上线cs.然后直接用badpotato执行我们的cs马

我们先抓下hash和明文密码发现密码抓不出来，hash也解不开

Administrator:500:aad3b435b51404eeaad3b435b51404ee:0f2805ccea1bfacf806c716305335b18:::

一般拿到本机信息需要先收集下信息和flag，但是发现这台机器没有flag

我们先建个账号进去看看

只能先扫描c段有没有其他机器

我们可以先hash传递试试

发现可以传递成功。我们可以直接加个账号进去，或者上线cs，但是发现目标不出网

登录进去发现是一个域主机，我们还是先找flag

找到flag和提示

flag(CtVEF8DZvYVvYGsUqnnN4RaaBjKj5mUa)

我们先提权到system发现会话不存在

我们可以正常收集下域信息

发现域里和本机都有一个idss用户，我们先上线抓取下信息

而且flag有提示有4个问号而且都是大写，怀疑是idss的域用户密码，我们可以抓取当前机器的hash然后利用hashcat进行离线爆破

但是我们需要先写一个密码列表根据他的提示，可以利用ai来写

然后既然给了域的账号密码，域里利用的CVE-2021-42278 + CVE-2021-42287，我们可以直接尝试一下

发现可以直接利用成功。

Flag

PU92fnbbPqwgYEWunAXJyxPyUmxPBwHy

开启场景发现是confluence，我们先用web发包看下

我们利用已知cve直接发送payload拿到webshell

先看下基本信息

然后涉及到linux提权还是先反弹过来。然后看下内核版本有点高，试了几个cve也不太行，但是发现存在vim的suid提权

然后发现了flag和提示信息

还是先探测下192.168.0.55这个ip地址

发现是mysql机器，Mysql只能udf或者Mof提权那我们上个socks5连试试udf提权。我们直接利用sqlmap的udf提权

还是老方法，加个账户进去，发现不存在flag,但是有一个redis客户端，可能是内网有redis客户端，顺便抓下本机密码，万一可以横向传递到其它机器。

发现一台6379端口的机器

发现不行，感觉应该是有密码认证，然后我们先收集本机信息

我们可以试下本机密码和mysql密码，因为抓不出来明文，只能先抓hash然后cmd5解密，发现本机密码可以连接redis。剩下的就是写密钥也行反弹也行。

我还是喜欢linux下面连接redis

看到了flag和提示

只有向日葵之前爆出漏洞，看着像base64先解码看看

直接利用rce工具测试

直接执行命令

加个账户进去, 如果我们想更方便的连接最好能启动一个socks5出来。

直接连接进来之后，先收集信息

发现本机没有flag和提示信息，之后我们发现域里的idss和本地管理组都存在idss账户。

我们抓取本机hash，发现可以解密明文是Abcd1234@2022,我们利用这个明文也可以登录域用户idss账户。

我们有了域账号密码可以尝试spn，nopac,zerologon等域漏洞都不行

其它就剩下adcs，域证书漏洞，中继,owa等等

测试发现是存在域证书漏洞

发现idss用户在里面，而且还有模版。

接下来我们可以直接来获取子域的权限。

然后按照他的提示来转换证书。先保存成cert.pem

然后我们请求这个证书

我们就可以直接dir执行了

可以利用psexec来获取cmd，可以加个域管账户或者把idss加到domain admins组里面

可以先找下有没有flag和提示等信息

登录到域管之后，一般从子域提升到根域一般就两种攻击方法，一种SID History 一种

域信任攻击父域

我们先实验SID History

先拿到krbtgt的hash

还需要子域和父域的sid

然后我们就可以利用了

先获取主域的hostname

打开web发现是weblogic，测试了几个cve都不行，发现存在uddiexplorer提示

这个界面一般就是weblogic+ssrf了，内网一般是有redis才行，提示了192.168.33.0/24

那我们就用burp批量测试这个段的6379端口

很明显发现了192.168.33.55存在6379端口，接下来很简单了，我们直接打redis

发现存在flag

而且在历史记录里发现一个地址和账号密码

发现是zabbix直接登录进来。

我们可以弹公网也可以弹redis这台机器，我们加条命令直接反弹

依照管理我们先看看suid提权，发现存在timeout，然后读取flag

在web发现监控了jumpserver

一般zabbix在agent是可以读取文件的，安装过jumpserver 都知道默认存在安装配置文件在/opt/jumpserver/config/config.txt里面存在api配置参数

我们可以利用zabbix_get读取试试

BOOTSTRAP_TOKEN=MjcxMzE5ZjYtZTE4YS0xMWVk

发现可以正常读取

网上有利用文章，可以利用这个读取jumpserver的资产，我们先利用BOOTSTRAP_TOKEN读取assess_key和secret

把对应改好

我们执行就返回了执行结果url

然后就执行成功，然后我们接下来直接反弹

我们测试下反弹，先下载一个python脚本，然后执行

发现/etc/crontab存在计划任务

然后我们建个back.py 然后等2分钟

查看flag

发现这台机器是多网卡，直接fscan一把梭

发现68存在vcenter,250是exsi

然后上个nps走下代理

我们直接利用常用的exp打vcenter，发现存在log4j漏洞

我们想反弹到jumpserver

发现是debian，但是没nc直接装一个

而且没有java，然后安装jdk11,我们要使用JNDIExploit

本地监听好端口，然后我们执行反弹

然后我们可以找下flag或者提示什么的。

在root目录没有发现flag.

然后可以登录界面看看，我们直接利用cookie伪造登录

我们在jumpserver监听8000,然后在center把data.mdb回传回来

然后我们把东西下载下来。

然后我们直接读取exsi机器的账号和加密的密码

然后解密

vpxuser:N/xk0Rh7BB9zN/2k3=aD5EGqT9Ck[vL

然后我们也可以登录到ssh里面

访问是solr web，发现存在CVE-2019-0193漏洞，而且已经建立好，我们建立一个web站点，让solr下载反弹脚本，然后执行，vps监听好

然后执行脚本反弹回来

直接反弹回来。

cat /root/flag

flag{13dd83bd-cd393fb1-aecafff5-ca2a3484-9d1ccddc}

1521 Zr6kJG2U3m3A7BG

我们看到在bash_history 发现了oracle连接记录

1521是oracle默认端口，Zr6kJG2U3m3A7BG看着像密码。

默认安装oracle是有SYS账号和SYSTEM账号

接下来我们先扫描看看内网有那些机器开放1521.

然后我们用账号sys/system/Zr6kJG2U3m3A7BG/orcl来连接oracle数据库

开启代理然后连接oracle。

语句来源: https://book.shentoushi.top/Databases/Oracle.html

看了进程有火绒杀软

直接加账户肯定不行，然后我们利用cve-2018-3004漏洞写入certutil编码为base64的文件

然后解码，这个exe是一个加隐藏管理员账户的exe

然后我们就可以直接登录进来了

发现是域机器，而且在administrator桌面发现flag

而且发现3389已经授权了域内oracle账户。

我们可以抓取下本机hash看看能不能解密。

发现可以解密

我们直接先用这个oracle账户密码登录域环境试试

发现可以正常登录oracle,有了账号密码我们还是可以测试nopac但是不成功。应该是打了补丁。NetLogon也没成功，可能是系统版本过高。

我们在测试下spn泄露等问题

发现存在Dbadmin用户的mssql服务。我们直接使用看看能不能获取krb5

然后我们用hashcat的跑一下，字典用的kali的rockyou

然后发现这个账户还是Users权限，我们可以用BloodHound来跑一下

发现dbadmin存在dcsync权限，我们有了明文可以直接远程dump域里所有hash

然后我们就可以横向传递了。用cme直接传递

flag{8b3f7bdf-f1c0e3ca-7e853ff0-a26def5a-f6d7d68c}